1. AOMEI Backupper >
  2. Conseils de sauvegarde Windows >
  3. Qu'est-ce que le ransomware Akira ? Explication et astuce de prévention

Qu'est-ce que le ransomware Akira ? Explication et astuce de prévention

Le ransomware Akira est une menace majeure qui cible entreprises et infrastructures critiques. Cet article explique son fonctionnement ses techniques d’attaque et propose des stratégies concrètes pour prévenir les infections et protéger efficacement vos données sensibles.

Aurore

Par Aurore Mise à jour le 29/04/2026

Partager sur : instagram reddit
Table des matières

Akira ransomware : Un héritier très actif (2025-2026)

Depuis son apparition en mars 2023, le ransomware Akira ne fait que monter en puissance. Au départ discret, il est aujourd’hui devenu une menace sérieuse pour les entreprises de toutes tailles. Ce qui le rend dangereux, ce n’est pas seulement sa capacité à bloquer des fichiers, mais aussi sa stratégie bien rodée pour forcer les victimes à payer.

On parle ici d’un rançongiciel moderne, organisé comme une vraie entreprise criminelle. Il attaque vite, cible intelligemment, et maximise ses gains.

Chiffres clés (mise à jour 2025)

  • Plus de 244 millions de dollars de rançons extorqués : preuve de son efficacité et de la pression exercée sur les victimes.
  • Plus de 250 organisations touchées : secteurs critiques comme l’industrie, l’éducation, la santé ou encore la finance.
  • Cibles principales : les PME mais aussi désormais des infrastructures critiques où les impacts sont encore plus graves.

📖 Qu'est-ce qu'un « rançongiciel » (ransomware) ?
Un rançongiciel est un programme malveillant qui bloque vos fichiers en les chiffrant. Impossible d’y accéder sans une clé. Les hackers demandent ensuite une rançon, souvent en cryptomonnaie. Avec Akira, c’est encore pire : vos données sont aussi volées avant d’être bloquées.

Pourquoi parle-t-on d’Akira comme du « nouveau Conti » ?

Akira ne sort pas de nulle part. Il s’inscrit dans la continuité de groupes très connus dans le monde du cybercrime. Et tout pointe vers un lien direct avec l’ancien gang Conti. Avant d'aller plus loin, il faudrait comprendre les termes « Conti » et « Raas ».

Qu'est-ce que le « Conti » ?

📖 Conti était un groupe de ransomware extrêmement actif entre 2020 et 2022. Après des fuites internes, ses membres se sont dispersés… mais beaucoup auraient rejoint ou recréé des projets comme Akira.

Qu'est-ce que « RaaS » (Ransomware-as-a-Service) ?

📖 Akira fonctionne comme un service. Les développeurs créent le virus, puis le louent à d’autres hackers. Ces derniers lancent les attaques et partagent les gains. Résultat : plus d’attaques, plus rapides, plus nombreuses.

Plusieurs indices concrets permettent aujourd’hui de faire le lien entre l’ancien groupe Conti et le ransomware Akira. En analysant son fonctionnement et ses outils, les experts en cybersécurité ont identifié des similitudes techniques et stratégiques qui ne laissent que peu de doute sur cette filiation.

  • Code similaire : les analyses montrent des méthodes de chiffrement proches notamment dans la gestion des clés.
  • Mêmes outils : Akira utilise des outils connus comme Mimikatz, RDP ou AnyDesk déjà utilisés par Conti pour infiltrer les systèmes.
  • Restriction géographique : le malware évite les machines configurées en russe ou dans certains pays de la CEI.

Akira évolue aussi techniquement. Il est passé du langage C++ à Rust (version « Megazord »), ce qui le rend plus rapide, plus stable et surtout plus difficile à analyser. Rust rend les programmes plus complexes à décortiquer. Pour les experts en cybersécurité, cela complique la création d’outils gratuits pour récupérer les fichiers.

Les failles techniques qu’Akira adore exploiter

Akira ne force pas une porte fermée. Il entre là où les systèmes sont mal protégés. Et souvent, ça passe par des oublis simples mais critiques.

🔓 Accès initial

Pour comprendre comment Akira arrive à pénétrer dans un système, il faut regarder les points d’entrée qu’il privilégie. Il ne cherche pas forcément à casser des protections complexes. Il exploite surtout des failles connues et des configurations mal sécurisées. Ces erreurs sont très courantes en entreprise, ce qui lui permet d’entrer rapidement et sans bruit. Par exemple :

  • VPN sans double authentification : notamment Cisco et SonicWall avec des failles comme CVE-2024-40766, ce qui permet aux attaquants d’accéder au réseau simplement avec des identifiants volés sans seconde vérification.
  • Solutions de sauvegarde : Veeam par exemple via des vulnérabilités connues comme CVE-2023-27532, ce qui donne aux hackers la possibilité de compromettre ou supprimer les sauvegardes avant même de lancer le chiffrement.

📖 Pourquoi cibler les sauvegardes ?

Parce que sans sauvegarde, la victime n’a plus de solution. Akira détruit cette porte de sortie pour forcer le paiement.

🔁 Mouvements latéraux

Une fois dans le système, Akira agit discrètement. Il ne se précipite pas. Il explore, récupère des accès et prépare le terrain.

  • Utilisation d’outils légitimes : AnyDesk, RDP ou Mimikatz pour éviter d’être détecté.
  • Création de comptes administrateurs fictifs : pour garder un accès permanent.

📖 Living off the land (LotL)

C’est une technique qui consiste à utiliser des outils déjà présents sur le système. Résultat : moins de détection par les antivirus.

🧨 Chiffrement

Akira vise désormais des environnements complexes.

  • Infrastructures Nutanix AHV : environnements virtualisés modernes ciblés directement.
  • VMware ESXi : hyperviseur très utilisé dans les entreprises donc cible privilégiée.
  • Hyper-V : solution Microsoft également visée par les attaques récentes.

Il supprime aussi les sauvegardes locales en effaçant les VSS. C’est une fonction Windows qui garde des copies de vos fichiers. Akira les supprime pour empêcher toute restauration rapide.

Ne pas payer ne suffit plus : ils ont déjà volé vos fichiers

Une fois que Akira a réussi à s’infiltrer et à se déplacer dans le système, l’attaque ne s’arrête pas au simple chiffrement. Avant même de bloquer les fichiers, les hackers prennent le temps de récupérer un maximum de données sensibles. Cette étape est stratégique, car elle leur donne un levier de pression supplémentaire sur la victime.

Concrètement, ils utilisent des outils tout à fait légitimes comme FileZilla, RClone ou WinSCP pour transférer discrètement des fichiers vers leurs propres serveurs. À partir du moment où les données sont copiées en plus d’être chiffrées, l’attaque change de nature. On ne parle plus seulement d’un blocage technique, mais d’un chantage basé sur deux leviers en même temps, ce qu'on appelle une double extorsion.

📖 Double extorsion

  • Vos fichiers sont chiffrés : votre activité est bloquée immédiatement et vos systèmes deviennent inutilisables.
  • Vos données sont volées : elles peuvent être publiées, revendues ou utilisées pour nuire à votre image et à votre activité.

Cette double menace change complètement la situation. Avant, une sauvegarde suffisait pour s’en sortir. Aujourd’hui, même avec des sauvegardes, le risque reste présent. Les entreprises doivent aussi gérer une fuite potentielle de données sensibles comme les informations clients, les contrats ou les données internes.

La pression devient alors beaucoup plus forte. Les cybercriminels jouent sur la peur de la réputation et des conséquences légales pour pousser à payer rapidement. La note de rançon (akira_readme.txt) est très explicite : elle donne des instructions précises et menace directement de publier les données si aucun paiement n’est effectué.

C’est là qu’intervient le dark web. Les groupes comme Akira y publient parfois des échantillons de données ou les noms des entreprises touchées. Cela sert de preuve et de levier psychologique pour forcer le paiement.

📖 Dark web – définition simple

C’est une partie cachée d’Internet, inaccessible via les moteurs de recherche classiques. Les hackers y publient les données volées, affichent les noms des victimes et utilisent ces plateformes comme vitrines pour accentuer la pression.

Comment bloquer Akira avant qu’il ne frappe ?

Il existe des actions simples et efficaces pour réduire fortement les risques. Et ça repose surtout sur de bonnes pratiques.

Action Pourquoi ça bloque Akira
Activer le MFA sur VPN, RDP et emails Akira exploite des mots de passe volés. Avec une double authentification, ces accès deviennent inutilisables.
Faire les mises à jour (patching) en priorité sur VPN Cisco/SonicWall et Veeam Les failles connues sont les portes d’entrée principales. Les corriger ferme ces accès.
Règle de sauvegarde 3-2-1 : 3 copies, 2 supports différents, 1 copie hors ligne ou immuable Même si Akira détruit les sauvegardes locales, une copie hors ligne reste intacte et permet de restaurer sans payer.

📖 MFA : C’est une double sécurité : mot de passe + code. Même si le mot de passe est volé, l’accès est bloqué.

Solution logicielle : Activer une protection anti-ransomware

Pour aller plus loin, il ne suffit pas d’avoir de bonnes habitudes. Il faut aussi un outil fiable qui protège vos données automatiquement. AOMEI Backupper fait partie des solutions les plus efficaces pour anticiper une attaque comme Akira.

Ce logiciel ne se contente pas de sauvegarder. Il crée un environnement sécurisé où vos données restent accessibles, même en cas d’attaque. Il intègre aussi des fonctions de protection active contre les modifications suspectes.

  • Protection anti-ransomware intégrée : le logiciel surveille en temps réel les modifications suspectes et bloque les menaces avant chiffrement.
  • Sauvegardes automatiques intelligentes : planifiez des sauvegardes régulières pour garantir des données toujours à jour.
  • Restauration rapide en cas de crise : récupérez vos fichiers rapidement sans céder à une rançon.
  • Gestion avancée des versions : revenez à une version antérieure même après modification ou suppression.
  • Compatibilité large : fonctionne avec Windows et plusieurs supports comme disque externe NAS et cloud.
AOMEI Backupper

Un logiciel de sauvegarde Windows fiable pour protéger votre système, vos disques et vos fichiers grâce à des fonctionnalités de sauvegarde, de restauration et de clonage.

Essai gratuit
Windows 11/10/8.1/8/7

1. Installez et lancez AOMEI Backupper sur votre ordinateur puis accédez à l’interface principale pour voir toutes les options disponibles.

2. Allez dans Outils > Protection contre les ransomwares et activez la protection anti-ransomware pour surveiller les activités suspectes en temps réel.

protection contre ransomware

3. Vous pouvez définir les types de fichiers à protéger ou les fichiers et dossiers spécifiques.

type de fichiers

4. Il vous permet aussi d'ajouter les applications suspect dans une liste de blocage.

liste de blocage

Les questions que vous vous posez sur Akira

Existe-t-il une solution de décryptage fiable pour ransomware Akira ?
À ce jour (2025-2026), il n'existe aucun décrypteur public gratuit et fiable pour le ransomware Akira, en particulier pour ses versions récentes écrites en Rust. Les chercheurs en cybersécurité n'ont pas réussi à trouver une faille permettant de déchiffrer les fichiers sans payer la rançon.
Méfiez-vous des sites frauduleux proposant de faux « Akira Decryptor » : ils visent soit à voler vos identifiants, soit à installer d'autres malwares sur votre système. La seule solution fiable pour récupérer vos fichiers sans payer est de disposer d'une sauvegarde intacte et hors ligne (air-gapped) restaurée via un logiciel comme AOMEI Backupper.
Que faire immédiatement après une attaque ransomware Akira ?
Voici les actions à mener dans les minutes suivant la découverte d'une infection par Akira :
1) Isolez immédiatement la machine infectée : débranchez le câble réseau (Ethernet) et désactivez le Wi-Fi pour stopper la propagation aux autres serveurs et postes de travail.
2) N'éteignez pas le serveur brutalement : cela pourrait détruire des preuves forensiques utiles pour identifier la source de l'attaque. Préférez l'isolement réseau.
3) Contactez les autorités : signalez l'attaque à l'ANSSI (en France) ou au CERT de votre pays.
4) Ne payez pas la rançon : cela ne garantit ni la restitution de vos données déchiffrées ni la non-publication de vos fichiers volés.
5) Si vous disposez de sauvegardes hors ligne (disques externes déconnectés ou bandes LTO), utilisez AOMEI Backupper pour restaurer vos données.
Comment se protéger efficacement contre le ransomware Akira ?
Une protection efficace contre Akira repose sur trois piliers complémentaires.
Pilier 1 (prévention technique) :
- Activez le MFA (double authentification) sur tous vos accès VPN, RDP et messagerie.
- Appliquez les correctifs de sécurité sur vos VPN Cisco/SonicWall et votre solution Veeam.
- Désactivez RDP si non utilisé.
Pilier 2 (sauvegarde) :
- Appliquez la règle 3-2-1 (3 copies, 2 supports, 1 copie hors ligne ou immuable).
- Utilisez un logiciel comme AOMEI Backupper avec sa fonction de protection anti-ransomware activée pour empêcher toute modification non autorisée de vos fichiers de sauvegarde.
Pilier 3 (surveillance et formation) :
- Formez vos employés à ne pas ouvrir de pièces jointes suspectes.
- Surveillez l'apparition de comptes administrateurs inhabituels (comme « itadm »).
- Auditez régulièrement vos logs de connexion.

Conclusion

Le ransomware Akira montre clairement l’évolution des cyberattaques : plus organisées, plus agressives et surtout plus difficiles à contrer une fois lancées. Attendre d’être attaqué n’est plus une option.

La clé, c’est l’anticipation. En combinant de bonnes pratiques (mises à jour, MFA, sauvegardes) et un outil fiable comme AOMEI Backupper, vous réduisez drastiquement les risques. Mieux vaut prévenir aujourd’hui que payer demain.

Aurore
Aurore · Éditeur
Membre de l’équipe AOMEI depuis 2021, spécialisé dans la protection des données, migration de données et de système, et la récupération de données.
Autres articles connexes
Je rencontre les attaques ransomware, que faire ?

Attaque ransomware : réagissez en coupant le réseau, photographiez le message de rançon, ne payez pas. Utilisez les copies shadow, des décodeurs gratuits (No More Ransom) ou restaurez via sauvegardes externes. Désinfectez et changez tous vos mots de passe.

Attaque par ransomware : Comment les données sont attaquées

Les attaques par ransomware bloquent et volent les données avant de demander une rançon. Elles exploitent surtout les erreurs humaines et les failles non corrigées. Comprendre leur fonctionnement permet d’adopter de meilleures pratiques de sécurité et limiter les risques de perte de données.

Plan de reprise après sinistre : Importance et mise en place

Le plan de reprise après sinistre est essentiel pour faire face aux pannes, cyberattaques et pertes de données. Cet article explique son importance, la règle 3-2-1, les données à protéger et les solutions pour assurer une reprise rapide et efficace.

AOMEI Backupper

Logiciel de sauvegarde Windows avancé et fiable pour la protection des données et le clonage de disques sous Windows 11/10/8.1/8/7.

Téléchargement gratuit

Windows 11/10/8.1/8/7
En savoir plus